Hüten Sie sich vor Radikallösungen

Rechtliche Fallstricke beim Cloud Computing

17.08.2010
Von 


Renate Oettinger war Diplom-Kauffrau Dr. rer. pol. und arbeitete als freiberufliche Autorin, Lektorin und Textchefin in München. Ihre Fachbereiche waren Wirtschaft, Recht und IT. Zu ihren Kunden zählten neben den IDG-Redaktionen CIO, Computerwoche, TecChannel und ChannelPartner auch Siemens, Daimler und HypoVereinsbank sowie die Verlage Campus, Springer und Wolters Kluwer. Am 29. Januar 2021 ist Renate Oettinger verstorben.

Datentrennung und Datenlöschung

Ein maßgeblicher Punkt für den Einsatz von Cloud-Services und zudem eine gesetzliche Verpflichtung ist die Datensicherheit und deren Kontrolle. Allein die Vorstellung, dass relevante Firmendaten gemeinsam mit den Daten des schärfsten Konkurrenten auf einer Festplatte liegen, dürfte bei den meisten Anwendern kaum Begeisterung auslösen. Um dieser misslichen Kohabitation rechtlich vorzubauen, muss der Anbieter sowohl die Trennbarkeit von Daten als auch deren Löschung vertraglich zusichern.

Wahrung der Kontrollrechte

Die Übermittlung, Verarbeitung und Speicherung personenbezogener Daten unterliegt strengen Vorschriften des Datenschutzgesetzes. Hierfür sollte stets die Zustimmung des Betroffenen eingeholt werden. Was sich in der Praxis oft schwierig gestaltet. Einen Ausweg kann die Auftragsdatenverarbeitung bieten. Sie gewährleistet, dass die Daten nur dann verarbeitet werden dürfen, wenn der Anwender das Weisungsrecht hat. Das setzt allerdings voraus, dass der Anwender stets Herr über die Daten ist. Dafür benötigt er entsprechende Kontrollrechte, die tatsächlich ausgeübt werden müssen.

In der Unternehmenspraxis scheitert die Datenkontrolle jedoch oft bereits am Wesen der Cloud selbst, weil sich die Daten überall befinden können. Zudem funktioniert das Modell der Auftragsdatenverarbeitung nur innerhalb des Europäischen Wirtschaftraums. Außerhalb des ERW muss zum einen ein ausreichendes Datenschutzniveau vertraglich sichergestellt werden, zum anderen müssen alle Betroffenen einwilligen.

Darüber hinaus legt das Datenschutzgesetz die technischen und organisatorischen Vorgehensweisen fest. Es besagt, wie eine Kontrolle über Zutritt, Zugriff, Weitergabe, Eingabe gewährleistet werden kann. Die Gewährleistung von Datensicherheit gehört aber auch zu den allgemeinen Organisationspflichten des Unternehmers. Daher muss die IT eines Unternehmens so organisiert sein, dass alle gesetzlichen und vertraglichen Anforderungen erfüllt werden. Besondere Verpflichtungen ergeben sich zudem aus dem Handels- und Steuerrecht sowie aus sektor-spezifischen Vorschriften.